Diritto e Fisco | Articoli

Privacy e studi legali: quali adempimenti?

20 Novembre 2018


Privacy e studi legali: quali adempimenti?

> Diritto e Fisco Pubblicato il 20 Novembre 2018



Anche gli studi legali sono soggetti alla legge sul trattamento dei dati personali e gli avvocati hanno precisi obblighi e responsabilità verso colleghi e clienti.

Gli studi professionali, in particolare quelli legali, sono costantemente presi d’assalto da persone intente a cercare soluzioni ai loro problemi. Il cliente è disposto a tutto pur di ottenere quanto desidera e non nasconde alcuna informazione, anche strettamente personale, che possa essere utile all’avvocato per tutelare i propri interessi. Queste informazioni sono tecnicamente da definire dati personali e in quanto tali devono essere attentamente difese dall’avvocato che non voglia causare un danno alle persone interessate e non abbia alcuna intenzione di sentirsi condannare per non aver fatto di tutto perché questi siano adeguatamente conservati e tenuti lontani da occhi indiscreti. Vediamo allora privacy e studi legali: quali adempimenti?

In un piccolo studio, con un solo professionista e uno o più collaboratori, per adeguarsi al Gdpr andrà, come prima mossa, fatta una ricognizione dei trattamenti svolti e poi rilasciate informative agli interessati di cui vengono trattati i dati e fornite istruzioni a coloro che collaborano nel trattamento, dalla segreteria ai collaboratori.

La legge sulla privacy

Il General data Protection Regulation (GDPR), regolamento europeo in materia di privacy entrato in vigore il 25 maggio scorso, ha apportato delle rilevanti modifiche alla nostra normativa sulla protezione dei dati personali. Sono in particolare i diritti dei titolari dei dati ad essere stati ampliati, ma non mancano le novità in tema di responsabilità di chi maneggi queste informazioni. Nonostante la diretta applicazione del regolamento, il legislatore italiano ha deciso di approvare un decreto legislativo [1], tenendo conto proprio delle prescrizioni del GDPR.

Ebbene, se sei un avvocato, che tu sia il titolare dello studio o un collaboratore, maneggi giornalmente molti dati personali appartenenti a clienti e colleghi. Per questo motivo anche tu sei soggetto alla normativa di riferimento. Il codice in materia [2], come coordinato al GDPR, definisce questi dati come informazioni che si riferiscono a persone fisiche [3] e nei fascicoli che compili e consulti per svolgere il tuo lavoro sono presenti informazioni di ogni genere. Tu che vieni a conoscenza di questi dati nello svolgimento del tuo lavoro di avvocato rappresenti la categoria del “responsabile del trattamento”.

I soggetti cui questi dati si riferiscono sono indicati dalla legge con il nome di “interessati”. Sei responsabile del trattamento ogni volta che decidi in che maniera utilizzare le informazioni personali, magari per sviluppare la strategia difensiva. Che sia per costruire una buona difesa o per contattare il cliente o un avvocato di controparte, quei dati sono nelle tue mani e devi trattarli nel rispetto della legge.

L’informativa sulla privacy

La legge prevede che il responsabile dei dati faccia conoscere ai relativi titolari tutti i diritti che gli competono, le modalità con cui i dati verranno trattati e conservati e chi sarà portato a conoscenza degli stessi. La necessaria completezza dell’informativa [4] comunque non esclude che queste informazioni possano essere date in maniera semplice.

Ad esempio è possibile fornire informazioni generiche sui trattamenti a chiunque entri nello studio, magari affiggendo un testo accurato ben visibile all’ingresso in sala d’attesa, per poi procedere a specificare alcune particolarità al momento del ricevimento. Resa l’informativa dovrai procedere ad acquisire il consenso al trattamento. Infatti la legge prevede che l’utilizzo dei dati personali è lecito solo in conseguenza della volontà del titolare di fornirli e renderli proficui ai fini stabiliti dal responsabile [5]. Vi sono poi dei casi in cui i dati possono essere utilizzati anche senza che il soggetto interessato presti il suo consenso.

Nel caso degli studi legali stiamo parlando in particolare dei dati che sono già stati resi pubblici o di quelli necessari allo svolgimento delle attività difensive, come le investigazioni, i dati utili a far valere un diritto del cliente in giudizio. Ricordati che il consenso al trattamento dei dati sensibili, cioè i dati personali che contengono informazioni utili a capire l’origine razziale o etnica, le convinzioni religiose, politiche e di altro genere, lo stato di salute e le caratteristiche sessuali dell’interessato, dovrà essere reso in forma scritta, e dovrai conservarlo per tutto il tempo di utilizzo.

La privacy nello studio: quali adempimenti?

Se credi che quanto detto fin’ora non sia rivolto agli avvocati, perché non hai mai visto un tuo collega affiggere l’informativa sul trattamento nella sala d’attesa o nessuno ti ha mai chiesto come conservassi le informazioni dei clienti, allora è bene che tu sappia che gli studi legali sono tra i luoghi più ricchi di dati personali. Oltre all’obbligo di informare il titolare dei suoi diritti, devi raccogliere i dati e conservarli nelle forme che il codice sulla privacy prevede, ma a ben vedere questo fa riferimento a imprecise modalità.

Vediamo allora alcuni esempi che ti permetteranno di stare lontano dalle sanzioni previste in caso di violazioni.

L’avvocato deve raccogliere i dati in modo lecito e corretto, esatto e pertinente; deve conservarli per un tempo che non ecceda quello necessario al loro trattamento [6]. In concreto puoi scegliere se formare i fascicoli in cui raccogliere i dati necessari a svolgere la causa in formato cartaceo, utilizzando fascicolatori, o elettronico, tramite delle cartelle sul computer, ma in entrambi i casi devi tutelare l’interessato evitando che chi non sia “addetto ai lavori” abbia la possibilità di visionarli. Anche il semplice nome del cliente scritto sulla copertina di un fascicolo o utilizzato per nominare una cartella rischia di essere un facile modo, per gli estranei, di venire a conoscenza del fatto che un certo soggetto sia indagato o stia portando avanti una causa per difendersi dalla richiesta di risarcimento danni. Tutte informazioni che possono mettere a rischio la privacy.

Sebbene le udienze siano pubbliche per legge, i dati contenuti nei fascicoli non lo sono. Lo diventano solo all’atto della loro immissione nel giudizio. Ovviamente i fascicoli dovranno essere conservati con cura e non facilmente raggiungibili da chiunque entri nello studio. È preferibile che siano in una stanza apposita, magari non direttamente visibili. Nulla esclude, ovviamente, che gli altri avvocati dello studio o altri collaboratori possano visionarli, in tal caso questi opereranno in qualità di incaricati del trattamento e saranno responsabili di come portano avanti le direttive sul trattamento che tu dovrai fornirgli in qualità di responsabile.

Se usi un computer, invece, è bene che questo sia protetto da password e da antivirus per evitare che anche dalla rete possano derivare pericoli. Per facilitare il controllo su chi visualizza quei dati è buona norma fornire ai tuoi colleghi e collaboratori delle credenziali di accesso differenti, così da poter risalire all’ultima persona che ha aperto i file.

Sono previste delle sanzioni?

Il fatto che tu rivesta la qualifica di responsabile del trattamento comporta delle conseguenze, ovviamente, anche in punto di responsabilità. Qualora con l’utilizzo dei dati, o meglio per il cattivo uso dei dati, provochi un danno al soggetto interessato, ne risponderai civilmente con l’obbligo di risarcire i danni che la tua attività ha causato.

Il trattamento dei dati è considerato dalla legge alla stregua di un’attività pericolosa [7], per questo motivo la tua cura nella conservazione e nell’utilizzo dei dati deve essere massima per poter essere dichiarato non responsabile di eventuali danni. Ma il codice prevede anche responsabilità amministrative [8] e penali [9]. In particolare potresti essere chiamato a pagare una somma che può arrivare anche a decine di migliaia di euro qualora tu non renda l’informativa sul trattamento dei dati o non adotti le misure necessarie alla sicurezza degli stessi. Sono previsti, poi, reati specifici per il trattamento dei dati personali, che si aggiungono alle sanzioni amministrative e comportano, in caso di trattamento illecito, una pena fino a ventiquattro mesi di reclusione e in caso di diffusione di un archivio automatizzato la reclusione anche fino a sei anni.

In ultimo, in caso di inosservanze lievi, il Garante per la protezione dei dati personali potrebbe anche comunicarti di adempiere agli obblighi che discendono dalla legge e più precisamente intimarti di adottare dei sistemi di sicurezza particolari o di fornire un’informazione più dettagliata ai clienti. Ebbene, in caso tu non dovessi seguire questi “consigli” potrai essere punito con la reclusione da tre mesi a due anni.

Sito internet

Sono molti gli studi professionali che utilizzano un sito web. Possiamo distinguere il cosiddetto sito vetrina, che non raccoglie dati personali di terzi ma è piuttosto una piattaforma che presenta la struttura, i suoi componenti, i servizi offerti e altre notizie di questo genere, In questo caso non vi è un impatto con la normativa sulla protezione dei dati, anche se è opportuna e consigliabile la pubblicazione di una policy privacy dello studio.

Diverso è il caso di un sito che tratta i dati di terzi e che, oltre a presentare lo studio, utilizza la piattaforma per offrire consultazioni gratuite o a pagamento oppure riceve direttamente un mandato per assistere il cliente. O, ancora, ha la sezione “lavora con noi”, attraverso la quale riceve i curricula dei candidati. In tutti questi casi occorre tenere conto di quanto prevede il Gdpr.

Il titolare del sito, tendenzialmente coincidente con il titolare dello studio, dovrà rendere l’informativa, la quale dovrà contenere, come elementi essenziali, il nome e il domicilio del titolare, le finalità di trattamento dei dati, le categorie di questi ultimi (per i dati particolari occorre verificare la necessità di richiedere uno specifico consenso). Ancora, l’indicazione dei destinatari e l’ambito di circolazione, se europeo o anche riguardante Paesi terzi che potrebbero non essere allineati alla nostra normativa. Infine, andranno indicate le misure di protezione e sicurezza. Altro obbligo è quello di informare i visitatori sull’utilizzo dei cookies.

Fondamentali saranno anche la pubblicazione di una policy privacy, del richiamo alle norme dei codici di deontologia di categoria e la creazione di un banner per la raccolta del consenso nei casi in cui fosse previsto.

Di MICHELE AMATO

note

[1] D. L. n. 101/2018 contenente modifiche al testo del 2003.

[2] D. L. n. 196 del 30.06.2003.

[3] Art. 4 D. Lgs. n. 196 del 30.06.2003.

[4] Art. 13 D. Lgs. n. 196 del 30.06.2003.

[5] Art. 23 D. Lgs. n. 196 del 30.06.2003.

[6] Art. 11 D. Lgs. n. 196 del 30.06.2003.

[7] Art. 15 D. Lgs. n. 196 del 30.06.2003.

[8] Artt. 161-166 D. Lgs. n. 196 del 30.06.2003.

[9] Artt. 167-172 D. Lgs. n. 196 del 30.06.2003.


Per avere il pdf inserisci qui la tua email. Se non sei già iscritto, riceverai la nostra newsletter:

Informativa sulla privacy
DOWNLOAD

Lascia un commento

Usa il form per discutere sul tema. Per richiedere una consulenza vai all’apposito modulo.

 



NEWSLETTER

Iscriviti per rimanere sempre informato e aggiornato.

CERCA CODICI ANNOTATI